HILFE: BKA Trojaner

Gast

Hi,

mich hats heut erwischt
Nicht mal Pornoseite, sondern war auf der Suche nach der besten Variante mit Hilfe von Java oder Flash Webseitenbesucher mit Proxyserver zu filtern. Offenbar nicht gerade sehr empfehlenswert sich in der momentanen Situation gezielt auf Webseiten zu begeben wo es um trickreiche Flash und Java Anwendungen geht.

Es geht mir jetzt auch nicht darum mein System wieder frei zu bekommen. Das würd ich schon hinbekommen, nur werd ich das vermutlich gar nicht mehr versuchen - ist mir zu riskant. Hab mehrere Betriebssystem laufen und kann ausweichen. Das befallene System war aber quasi Hauptsystem, das ich als einziges versucht hab sauber zu halten. Das Risiko dass da etwas übrig bleibt kann und werd ich nicht eingehen.

Mein wirklich großes Problem ist die Verschlüsselung:
Der Trojaner hat mir Files verschlüsselt die ungesichert waren. Schaden ist noch nicht abzuschätzen, aber allein an dem Projekt wo ich im Moment dran gesessen bin, wären einige Wochen intensiver Arbeit verloren

Folgendes hat Trojaner mit Dateien gemacht:
Dateinamen sind erhalten geblieben aber die verschlüsselten Dateien tragen jetzt alle die Endung .html.
Beispiel:
vorher: Image.gif
nachher: Image.gif.html
Und jetzt das schlimmste daran, alle Tools die ich bisher gefunden hab erwarten gleiche Filegröße der originalen und der verschlüsselten Datei, um daraus den Key zu berechnen.
Bei mir sind allerdings die verschlüsselten Dateien alle um genau 220Bytes größer als das Original.

Im Anhang ein Beispiel: mein originales Avatar-Bild und das verschlüsselte.

Wenn mir hier einer von euch helfen kann wäre ich ihm auf Ewig dankbar !!!!!!

Ich brauch jetzt erstmal kurze Auszeit! Meine Nerven sind blank!

zeus456

Hi,

Kannst du bitte mal das betroffene System mit einen Virenkiller scannen und dann die befallene .exe bei https://www.virustotal.com/de/ mal hochladen?

Auch mal den Reg Eintrag unter HKLM\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon\

der Eintrag shell sollte nur explorer.exe und der Eintag userinit C:\Windows\system32\userinit.exe sein.

Wir sollten erst mal feststellen, welche Version des BKA Trojaners du hast.

Dann kann man leichter nach einen Tool zu Entschlüsselung suchen.

Kann leider auch sein, dass es für diese Variante noch nichts gibt.

lg

Gast

Gut danke. Scheinst dich auszukennen.
Problem ist aber dass ich mit dem befallenen System im moment nicht arbeiten kann, also auch nicht in die Reg schauen. Ist ja noch gesperrt.
Außerdem ist das Verschlüsseln zu einem großen Teil offenbar beim erneuten Hochfahren nach dem Befall passiert (noch bevor Desktop erschien) - teilweise auch schon bevor ich das erste Mal runter gefahren bin. Da waren zB schon alle Icons in der Schnellstartleiste auf *.html umgeschrieben. Im Moment hab ich die Befürchtung dass bei jedem weiteren Versuch hochzufahren zusätzliche Files verschlüsselt werden. Vermute dass abgesicherter Modus bei diesem Typ mit ziemlicher Sicherheit auch nicht mehr geht (sicherheitshalber noch nicht probiert).
Ich hab aber vollen Zugriff auf mein System von einem parallel auf anderer Festplatte installiertem System. Hilft das?
Wenn ja, welchen Scanner nehm ich am besten?

Befallenes System ist übrigens Windows Server 2008R2 (also die Serverversion von Windows 7).

Wenns für die Erkennung des Typs unbedingt nötig ist, könnt ich maximal versuchen die gesamte Registrierung durch die letzte Windows-Sicherung auszutauschen und Autostartverzeichnis sowie Temp-Datein löschen. Angeblich ist das bei den neuen Versionen des Trojaners die sicherste Variante zum Entsperren.
Erst danach könnt ich in die Reg schauen.

zeus456

Das hört sich leider nicht gut an, diese Variante kenne ich noch nicht
Scheint ein neuer zu sein.

Meistens legt sich dieser Trojaner c:\users\Benutzernane\ eine *.exe an.

Versuche mal das mit den ESET Online Scanner unter Free Online Virus Scanner | ESET zu scannen.

Bitte den Haken unter Remove found Threads enfernen und bei den advanced options die Vereichnisse zum Scannen auswählen.

Ich würde jetzt mal von dieser betroffenen Festplatte c:\Benutzer, c:\Programme, c:\Programme (x86) c:\Programdata und c:\windows zum scannen auswählen.

Danch kannst du das Log in ein Text File exportieren.

Bitte dann Posten.

edit: Bitte auf keinen Fall das System nochmal starten.

Was hast du denn als zweites Betriessystem drauf?

zeus456

Kannst du mir bitte per PN einen Link zu der vermutlichen seite schicken. ich könnte dann mit einer VM einen Snapshot machen uns selber etwas testen.

Dann wären wir schneller..

Danke

lg

Gast

Wenn ich richtig beim Googeln bin dann lande ich halt in allen möglichen Foren und von dort wieder über Links was weiß ich wo überall. Hab da immer unzählige Browsertabs offen und lese nirgends besonders lange bevor ich nicht genau das hab was ich haben will.
Suchbegriffe waren sowas wie "proxy detection java flash socket connection" usw.
Kann deswegen leider nicht mehr sagen welche Seite es letztendlich gewesen ist.

Scanner läuft gerade nebenbei, alles so eingestellt wie von dir gepostet. Hat ein einziges File gefunden. Find ich vorläufig eher positiv! Zumindest nicht so wie andere Scanner die alles mögliche aufspüren was gar nichts zur Sache tut.

Momentanes System ist ebenfalls Windows Server 2008R2.

Log im Anhang.

Gast

Hier noch das Verzeichnis mit dem gefundenem File. Sind paar andere Files auch mit dabei.

zeus456

Kannst du bitte doch die gesamte Festplatte noch scannen ich habe das Gefühl es fehlt noch ein Teil von diesen Virus.

Komischerweise findet man dazu Sachen aus den Jahr 2007?

Edit:

Das schaut für deine Daten nicht gut aus. :-(((((

Ich habe jetzt mal die avatar1035_6.gif.html mit einen hex Editor angeschaut und man Findet im Dateiheader den Link zu

<html xmlns='http://www.w3.org/1999/xhtml'><head><meta http-equiv='refresh' content='0; url=http://mblpcblock.in/i.php?uid={77CEB260-E181-8827-A976-EA2F7E227455}' /><title>Index</title></head><body></body>

Ich habe mal von einer virtuellen XP den Link In einer Sandbox im Firefox eingegeben und da wird dann sofort eine von diesen Virus Seiten aufgerufen.

hast du viellaucht auf diesen Server Schattenkopien aktiviert? Dann könnte man vielleich daraus noch ein paar Daten retten.

So wie es für mich im Moment leider aussieht wird da auch eine Neuinstallation des Servers fällig werden. Setzt du da einen Virenschutz ein?
Laufen da auch noch andere Dienste ADS, DHCP, IIS, ....?

Edit2:
Vielleicht können die die User dort noch helfen, leider passt da auch keine Beschreibung auf deine Dateien zu.

http://www.trojaner-board.de/116851-daten-r…gstrojaner.html

lg

**Reppo**

Mal testweise auf den Anhang Blend Tools.rar geklickt, da springt mein Eset Nod 32 direkt drauf an und meldet eine Variante des BKA Trojaners. Hast du keinen Virenscanner auf dem Server installiert?

zeus456

Hi Reppo,

das hilft Lack jetzt im Moment auch nicht.
Diese Variante dürfte noch relativ neu sein.
Lt. Virustotal kennen diesen Virus auch Symantec, Trendmicro, Avast noch nicht.

lg

**Reppo**

Hilft zwar Lack jetzt nicht weiter, aber ESET kennt den Virus seit 15.Mai (NOD32 - v.8335 (May 15, 2013))
Ich drücke Lack natürlich die Daumen, dass nicht zuviele Dateien verschlüsselt sind.
Am besten HDD ausbauen und per USB an einen anderen PC / Notebook hängen und die nicht verschlüsselten / veränderten Dateien runtersichern. Hoffentlich hat er darüberhinaus ein aktuelles Backup seiner Daten.

zeus456

Lack hat wie in Erspost schon gesagt leider kein Backup, darum auch meine Frage nach den Schattenkopien.

leider fallem mir im Moment auch keine weiteren möglichkeiten mehr dazu ein.

@Lack

hat der Virus die Dateinamen alle auf .html geändert oder sind das Files mit kryptischen namen sowie kluPOFIsdfklj?

edit hätte Erstpost nochmal lesen sollen sid alle dateien mit .html

Gast

Warum nicht mit Linux Live starten und alles aus der Registry rausnehmen ?
Oder UBCD4WIN ?

Als erstes mal den Schaedling ausfindig machen.
Mit der gewonnenen Erkenntnis im Hijack oder Trojaner Board Kontakt aufnehmen.

Gast

Das was da im Hexeditor erscheint sind ziemlich genau diese 220 Bytes, um die jedes File größer geworden ist......

Auf dem Server laufen so einige Webdienste: Apache, IIS, PHP, Perl, MySQL, DNS, NFS, DHCP, RRAS, usw. Schattenkopie leider nicht.

Wie gesagt, hab ihn eh schon abgeschrieben. Die Installation aller dieser Sachen und vor allem die Konfiguration ist natürlich sehr aufwendig, aber das ist weniger mein Problem. Hab Sicherung von der Server-Grundinstallation die in 10 Minuten eingespielt ist. Dann hab ich ihn zwar wieder sauber und betriebsbereit, aber die Arbeit der vergangenen Wochen ist eben leider nicht gesichert. Und das ist ziemlich niederschmetternd!

Ich brauch auch keine Festplatten auszubauen, wie Reppo schreibt. Dieses eine Serversystem um das es geht, läuft auf getrenntem 4-fach Raid0, und ich brauch nur andere Festplatten zusätzlich anstecken und kann hochfahren und auf alles zugreifen.
Geht rein ums entschlüsseln einiger besonders wichtiger Programmfiles, wo viel Arbeit drin steckt. Sind hauptsächlich php-Files, bzw einige XML, Java, AS, ...sowas halt. Natürlich sind auch andere Dinge verloren gegangen, das ist ebenfalls schmerzlich, aber steckt wenigstens nicht so viel Arbeit drin.

Hab jetzt noch mal gesammte Festplatte gescannt - mit gleichem Scanner wie oben von dir empfohlen. Und nochmal Log gemacht.

Gast

Das was am Anfang und am Ende der Files angehängt wurde sind tatsächlich ganz genau die 220Bytes (209 am Anfang der Datei und 11 am Ende) und alles was zwischen den HTML-Kommentaren drin ist entspricht dann genau der Größe des alten Files.
Hab daher mit Binäreditor das Zeug entfernt und danach versucht zu entschlüsseln. Die Tools nehmen die Files dann natürlich auch an, nur leider hat es keines geschafft zu entschlüsseln.

RannohDecryptor von Kaspersky sagt dass er die Verschlüsselnung nicht kennt.
ScareUncrypt generiert Schlüssel, aber tut dann nichts.
matsnu1decrypt schreibt überhaupt irgendeinene blödsinnige Fehlermeldung.

Gast

Hab Beitrag im Trojaner-Board gemacht:
GVU oder BKA Virusbefall - Trojaner-Board
Hoffe ich krieg Antwort. Falls ja, dann wirds interessant was die dazu meinen.

Vielen Dank für die bisherige Hilfe! Vor allem zeus456.

fritte999

hab vor kurzem den GVU Trojaner aus einem PC beseitigt, ist ahnlich dem BKA Trojaner.
Dazu habe ich einen bootbaren USB Stick, rescue2usb.exe und kav_rescue_10.iso installiert, geht auch auf CD Rom.
Damit booten und deine Festplatten scannen.
In meinem Fall wurden auch Files wieder repariert und mehrere Trojaner gefunden/beseitigt.
Mehrere aktuelle Virenscaner und Stinger anschließend drüber laufen lassen.

Um ganz sicher zu gehen, sollte man das System neu aufsetzen.

Gast

Hab Antwort bekommen: GVU oder BKA Virusbefall - Trojaner-Board
Leider das was man befürchten musste. Schaut sehr schlecht aus gewisse Dinge noch retten zu können.

Antworten (und bedanken) werd ich irgendwann später... in nächsten Tagen (will dort nichts unüberlegtes posten).
Nur eines versteh ich echt nicht, was soll das bedeuten, dass man "keine unnötige Zeit mit Entschlüsselungsversuchen verschwenden" soll? Diesen Spruch hab ich schon mehrfach, zum Thema BKA-Trojaner, in dem Forum gelesen:

Zitat

Wenn das keine einfache Verschlüsselung mit "locked-" im Dateinamen ist, sollte man sich um Datenrettung und nicht um Entschlüsselung kümmern!
Wenn Vista oder Win7 im Einsatz sind, den ShadowExplorer testen! Aber keine unnötige Zeit mit Entschlüsselungsversuchen verschwenden

Kann damit ehrlich nichts anfangen!
Wie kann es denn verschwendete Zeit sein zumindest alles erdenklich mögliche zu versuchen diese Verschlüsselung rückgängig zu machen?
Daten die ich noch hab, die hab ich doch sowieso! Nur Daten die verschlüsselt sind, hab ich im Moment nicht mehr.
Was soll ich also retten (außer die Verschlüsselten)? Und vor allem, wieso sollt ich mich damit beeilen?

Von mir aus macht das Sinn wenn es sich um einen Trojaner handelt, der es noch erlaubt mit dem infizierten System hochzufahren und weiter zu arbeiten, und man so unvorsichtig ist und das auch noch tut. Aber hier ist das doch sowieso nicht möglich. Könnt ich mir maximal den Screen mit der Gelderpressung anschauen, und schön warten bis der Rest meiner Daten auch noch futsch ist. So dumm wird doch keiner sein. Und falls doch sollte man eher darauf hinweisen altes Windows nicht mehr zu starten. Würde die Sache viel mehr auf den Punkt bringen!

Aber angenommen ich rette jetzt nur mehr das was nicht verschlüsselt ist und installiere danach sofort ein neues Betriebssystem. Dann würd ich mich doch später grün und blau ärgern, wenn irgendwann doch noch Möglichkeit auftaucht diese Daten zu entschlüsseln.

Will aber nicht undankbar erscheinen, diese Leute sind vielbeschäftigt und leisten sicher Extremes. Helfen fremden Usern ohne Gegenleistung dafür zu bekommen. Hochachtung!

Werde also folgendes tun:
Alle wichtigen Files (egal ob verschlüsselt oder nicht) auslagern. Und dann (zum Glück noch vorhandenes) Acronis-Backup über die Platte drüber spielen.
Die Sache hat nur einen Haken:
Wenn ich nicht zusätzlich zumindest den Versuch unternehme auch den Schädling selbst zu sichern (und alles was dazu gehört), hab ich später keine Möglichkeit mehr zu Untersuchen was er getan hat.
Falls einer nicht kennt, aber es gibt geniale Tools wie IDA Pro Disassembler and Debugger die einem wunderbare Einblicke verschaffen was in einem Programm tatsächlich abläuft.
Wird vermutlich sehr oft dazu missbraucht Cracks für Sharewareprogramme zu finden (bisher hab ich es ja selber nur dafür verwendet), in dem Fall könnte es aber unter Umständen letzte Rettung sein.

Falls noch Tipps gibt, bin für jeden Beitrag dankbar (egal ob im Endeffekt hilfreich oder weniger).

Gast

Mein Glück im Unglück ist, dass Betriebssystem noch nicht allzulange am Rechner ist, und alles was früher an Daten angefallen ist, hab ich sowieso auf diversen anderen Platten.

Homer

Versuch es doch mal mit Malwarebytes-Antimalware. Habe damit selber schon Trojaner entfernt.
Versuche Malwarebytes auf dein System zu bekommen. Danach sofort aktuallisieren.
Im abgesichteren Modus starten und ein vollständigen Scan mit Malwarebytes machen. Event. hilft es dir weiter.
Versuch sollte es wert sein.

Gruß: Homer

oder damit: http://www.chip.de/bildergalerie/…e_54218633.html

HILFE: BKA Trojaner

Jetzt mitmachen!

Telegram und FSB: Ein Blick auf die Sicherheitslage des Messengers

Irreführung durch eigene Anti-Piraterie-Kampagne

Pluto TV

Abschaltung des Darknet-Marktplatzes Archetyp und Verhaftung des Betreibers

Samsung TV Plus/Rakuten TV

Plex Live TV / LG Channels / Wedo TV

Sorge um Felix von Leitner – Fefe bleibt verschwunden

Die Realität des Passwort-Sharings bei Streaming-Diensten

Cyberkriminalität: Ein Blick auf die digitale Unterwelt

Versteckte Kamera im Untermietzimmer: Juristische Grenzen der heimlichen Überwachung

Viren und Trojaner News

HILFE: BKA Trojaner

Welche Anti Viren Software ist zu empfehlen?

Neuer Lösegeld Trojaner im Umlauf

Warnung vor kritischer Java-Lücke - es sollte sofort deaktiviert werden!

BSI rät zur System-Überprüfung vor dem 8. März

Virenscanner empfehlungen zur Virenbeseitigung

WORM/Kido.IH.54' gefunden brauche Hilfe

Abzock-Schutz im ULC

Warnung eingehende Mails (Verschlüsselungstrojaner)